Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (Text refós per LesLleis.com)
Índex
[Mostra/Amaga]Article 1. Objecte
Aquest Reglament té per objecte desplegar la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.
Article 2. Àmbit d’aplicació
1. Aquest Reglament s’aplica a qualsevol tractament de dades personals totalment o parcialment automatitzat, i també al tractament no automatitzat de dades personals contingudes en un fitxer o destinades a ser-hi incloses, amb les excepcions previstes a la Llei qualificada de protecció de dades personals.
2. Aquest Reglament no s’aplica a les activitats exclusivament personals o domèstiques sense cap connexió amb l’activitat professional o comercial. L’excepció personal o domèstica és aplicable en sentit estricte a les activitats emmarcades en la vida privada o familiar. No s’inclouen en aquesta excepció les activitats particulars econòmiques que excedeixen aquest àmbit.
3. Aquest Reglament s’aplica a persones físiques i jurídiques quan es comparteixin o difonguin dades personals en plataformes digitals o xarxes socials obertes al públic, o tancades però amb accés a un alt nombre de contactes o bé a un nombre indeterminat de contactes.
Article 3. Definicions
A l’efecte d’aquest Reglament s’entén per:
a) Dades personals o de caràcter personal: tota informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus relativa a una persona física identificada o identificable (“persona interessada”); s’entén per persona física identificable qualsevol persona amb una identitat que es pugui determinar, directament o indirectament, sense esforços desproporcionats, en particular mitjançant un identificador o un o diversos elements específics característics de la seva identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social. A efectes d’aquest Reglament, no es considera dada de caràcter personal la que s’obté d’un tractament que comporti un mer mesurament, sense que el procés vagi acompanyat d’un registre ni una identificació dels interessats.
b) Metadades: tota informació secundària constituïda per dades que qualifiquen altres dades, que poden informar sobre la data, la ubicació des d’on s’ha demanat la dada, el moment, qui l’ha facilitat, el tipus de sensor, el seu factor de precisió, etc. Les metadades tenen la consideració de dades personals quan permeten identificar de forma directa o indirecta, sense esforços desproporcionats, una persona física.
c) Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica o granular, informada i inequívoca per la qual la persona accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les dades personals que l’afectin. En tot cas, el consentiment ha d’estar separat de la resta d’operacions del tractament o els termes i les condicions.
d) Elaboració de perfils: qualsevol forma de tractament automatitzat de dades personals consistent a utilitzar aquestes dades per avaluar determinats aspectes personals d’una persona física; en especial, per analitzar o predir aspectes relatius al rendiment professional, la situació econòmica, la salut, les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació i els moviments d’aquesta persona, entre d’altres. Les decisions que no estan basades únicament en el tractament automatitzat, sinó que impliquen intervenció humana en alguna fase del tractament, poden incloure també l’elaboració de perfils.
e) Anonimització: procés que consisteix a eliminar tots els elements identificatius d’un conjunt de dades personals perquè ja no sigui possible identificar la persona interessada.
f) Seudonimització: tractament de dades personals que no permet atribuir-ne a una persona interessada sense utilitzar informació addicional, sempre que aquesta informació consti separadament i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixen a una persona física identificada o identificable.
g) Violació de la seguretat de les dades personals: qualsevol violació de la seguretat que ocasiona, de manera accidental o il·lícita, en tot cas no autoritzada, la pèrdua, l’alteració o la divulgació de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.
h) Interès vital: interès essencial per a la vida de la persona interessada.
i) Interès legítim: interès (lícit) del responsable del tractament o d’una tercera persona pel tractament de dades personals que prevalgui sobre els interessos, els drets o les llibertats fonamentals de l’interessat, tenint en compte les expectatives raonables dels interessats basades en la seva relació amb el responsable. Són exemples d’interès legítim tractaments efectuats en el marc d’una relació amb un client, quan es tracten dades personals per a finalitats de màrqueting directe, i tractaments per prevenir el frau o per garantir la seguretat de la xarxa i la informació dels seus sistemes informàtics, entre d’altres.
j) Dades biomètriques: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física, que permeten o confirmen la identificació única d’aquesta persona, com imatges facials, dades dactiloscòpiques o patrons d’iris.
k) Dades relatives a la salut: dades personals relatives a la salut física o mental d’una persona física que revelen informació sobre el seu estat de salut, inclosa la prestació de serveis d’atenció sanitària. S’hi inclouen les dades relatives al codi d’identificació de la història clínica o la informació relativa al dopatge d’un esportista.
l) Dades economicofinanceres: dades que ofereixen informació sobre la situació econòmica o financera d’un individu. Tenen un grau de sensibilitat elevat, si bé no es consideren categories especials de dades personals.
m) Dades de menors o discapacitats: dades de col·lectius vulnerables. Tenen un grau de sensibilitat elevat, si bé no es consideren categories especials de dades personals.
n) Transferència internacional de dades: la comunicació de dades personals o la seva posada a disposició a favor d’un destinatari subjecte a la jurisdicció d’un tercer país, o quan el destinatari és una organització internacional.
o) Principi d’extraterritorialitat del tractament: aquest Reglament s’aplica a les entitats que tracten dades personals quan facin servir mitjans de tractament ubicats en territori andorrà, tant si aquestes entitats estan establertes al Principat d’Andorra com si no hi estan establertes, d’acord amb l’article 2.2 de la Llei qualificada de protecció de dades personals, i també a les entitats establertes fora del Principat d’Andorra quan les activitats del tractament tinguin per objecte el tractament de dades d’interessats andorrans o que resideixin al Principat d’Andorra o controlin el comportament d’aquests interessats.
p) Principi de responsabilitat proactiva: el responsable del tractament ha d’aplicar mesures tècniques i organitzatives apropiades per garantir i poder demostrar que el tractament és conforme amb la Llei qualificada de protecció de dades personals. Aquest principi exigeix una actitud conscient, diligent i proactiva per part de les organitzacions davant de tots els tractaments de dades personals que duguin a terme.
q) Coordinador de protecció de dades: persona física integrant del personal d’una entitat que dona assistència al delegat de protecció de dades en tasques organitzatives però que en cap cas n’assumeix funcions ni responsabilitats.
b) Metadades: tota informació secundària constituïda per dades que qualifiquen altres dades, que poden informar sobre la data, la ubicació des d’on s’ha demanat la dada, el moment, qui l’ha facilitat, el tipus de sensor, el seu factor de precisió, etc. Les metadades tenen la consideració de dades personals quan permeten identificar de forma directa o indirecta, sense esforços desproporcionats, una persona física.
c) Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica o granular, informada i inequívoca per la qual la persona accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les dades personals que l’afectin. En tot cas, el consentiment ha d’estar separat de la resta d’operacions del tractament o els termes i les condicions.
d) Elaboració de perfils: qualsevol forma de tractament automatitzat de dades personals consistent a utilitzar aquestes dades per avaluar determinats aspectes personals d’una persona física; en especial, per analitzar o predir aspectes relatius al rendiment professional, la situació econòmica, la salut, les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació i els moviments d’aquesta persona, entre d’altres. Les decisions que no estan basades únicament en el tractament automatitzat, sinó que impliquen intervenció humana en alguna fase del tractament, poden incloure també l’elaboració de perfils.
e) Anonimització: procés que consisteix a eliminar tots els elements identificatius d’un conjunt de dades personals perquè ja no sigui possible identificar la persona interessada.
f) Seudonimització: tractament de dades personals que no permet atribuir-ne a una persona interessada sense utilitzar informació addicional, sempre que aquesta informació consti separadament i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixen a una persona física identificada o identificable.
g) Violació de la seguretat de les dades personals: qualsevol violació de la seguretat que ocasiona, de manera accidental o il·lícita, en tot cas no autoritzada, la pèrdua, l’alteració o la divulgació de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.
h) Interès vital: interès essencial per a la vida de la persona interessada.
i) Interès legítim: interès (lícit) del responsable del tractament o d’una tercera persona pel tractament de dades personals que prevalgui sobre els interessos, els drets o les llibertats fonamentals de l’interessat, tenint en compte les expectatives raonables dels interessats basades en la seva relació amb el responsable. Són exemples d’interès legítim tractaments efectuats en el marc d’una relació amb un client, quan es tracten dades personals per a finalitats de màrqueting directe, i tractaments per prevenir el frau o per garantir la seguretat de la xarxa i la informació dels seus sistemes informàtics, entre d’altres.
j) Dades biomètriques: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física, que permeten o confirmen la identificació única d’aquesta persona, com imatges facials, dades dactiloscòpiques o patrons d’iris.
k) Dades relatives a la salut: dades personals relatives a la salut física o mental d’una persona física que revelen informació sobre el seu estat de salut, inclosa la prestació de serveis d’atenció sanitària. S’hi inclouen les dades relatives al codi d’identificació de la història clínica o la informació relativa al dopatge d’un esportista.
l) Dades economicofinanceres: dades que ofereixen informació sobre la situació econòmica o financera d’un individu. Tenen un grau de sensibilitat elevat, si bé no es consideren categories especials de dades personals.
m) Dades de menors o discapacitats: dades de col·lectius vulnerables. Tenen un grau de sensibilitat elevat, si bé no es consideren categories especials de dades personals.
n) Transferència internacional de dades: la comunicació de dades personals o la seva posada a disposició a favor d’un destinatari subjecte a la jurisdicció d’un tercer país, o quan el destinatari és una organització internacional.
o) Principi d’extraterritorialitat del tractament: aquest Reglament s’aplica a les entitats que tracten dades personals quan facin servir mitjans de tractament ubicats en territori andorrà, tant si aquestes entitats estan establertes al Principat d’Andorra com si no hi estan establertes, d’acord amb l’article 2.2 de la Llei qualificada de protecció de dades personals, i també a les entitats establertes fora del Principat d’Andorra quan les activitats del tractament tinguin per objecte el tractament de dades d’interessats andorrans o que resideixin al Principat d’Andorra o controlin el comportament d’aquests interessats.
p) Principi de responsabilitat proactiva: el responsable del tractament ha d’aplicar mesures tècniques i organitzatives apropiades per garantir i poder demostrar que el tractament és conforme amb la Llei qualificada de protecció de dades personals. Aquest principi exigeix una actitud conscient, diligent i proactiva per part de les organitzacions davant de tots els tractaments de dades personals que duguin a terme.
q) Coordinador de protecció de dades: persona física integrant del personal d’una entitat que dona assistència al delegat de protecció de dades en tasques organitzatives però que en cap cas n’assumeix funcions ni responsabilitats.
Article 4. Obligats
1. Són obligats per les disposicions d’aquest Reglament els responsables, corresponsables, encarregats de tractament i subencarregats andorrans o constituïts conforme a les lleis del Principat d’Andorra i els actors exteriors que facin servir mitjans de tractament, automatitzats o no, ubicats en territori andorrà. D’acord amb el principi d’extraterritorialitat del tractament, aquest Reglament també s’aplica al tractament de dades personals per part de responsables o encarregats de fora d’Andorra quan duguin a terme activitats de tractament relacionades amb els interessats andorrans, o que resideixin al Principat d’Andorra, o bé quan el tractament consisteixi a fer oferta de béns i serveis, inclòs el mer control del comportament, a interessats del Principat d’Andorra.
LesLleis.com
2. Els conceptes de responsable, corresponsable, encarregat del tractament, subencarregat i representant definits a la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals són conceptes funcionals, ja que tenen per objectiu l’assignació de responsabilitats d’acord amb el rol real de cada part. L’estatus legal d’un actor, doncs, es pot determinar mitjançant una norma amb rang legal i de compliment obligatori per als actors o per a les activitats reals d’aquests actors en un tractament de dades concret, més enllà de les designacions formals que puguin existir.
3. El règim de corresponsabilitat, que pot sorgir quan hi ha diversos participants en el tractament, es regeix per les condicions generals següents:
a) Els corresponsables determinen de forma conjunta la finalitat i els mitjans de tractament. Els criteris principals per determinar la corresponsabilitat són la participació conjunta de dos o més entitats en la determinació de finalitats i mitjans d’un o diversos tractaments i la impossibilitat del tractament sense la participació de l’altre o els altres corresponsables.
b) Si una activitat de tractament, una finalitat o un mitjà de tractament és determinat unilateralment per un dels corresponsables, s’entén que aquest darrer és el responsable únic d’aquell tractament de dades.
c) Quan hi ha corresponsabilitat, els corresponsables han de formalitzar transparentment i per escrit les funcions de cadascun i la seva relació amb els interessats. No obstant això, s’entén que el règim de responsabilitat és solidari davant els interessats, i per tant els interessats poden adreçar-se a i en contra de qualsevol dels responsables per exercir els seus drets.
d) En cas de vulneració de la normativa de protecció de dades, tots els corresponsables responen pels danys que hagin pogut ocasionar, independentment de les accions de repetició que es puguin exercir posteriorment entre corresponsables.
e) La distribució de les responsabilitats respectives entre corresponsables ha de determinar l’exercici dels drets dels interessats, el compliment del deure d’informació, l’aplicació de mesures de seguretat, la notificació de violacions de seguretat i les avaluacions d’impacte relatives a protecció de dades, entre altres aspectes.
f) En circumstàncies concretes determinades, com en el marc dels assajos clínics i altres investigacions clíniques, hi pot haver responsables independents dels seus tractaments respectius. En aquests casos correspon a cada responsable respondre per les obligacions derivades de la seva activitat, de manera que no es pot apreciar la responsabilitat solidària entre ells pels incompliments que hagi pogut cometre l’altra part o les altres parts.
b) Si una activitat de tractament, una finalitat o un mitjà de tractament és determinat unilateralment per un dels corresponsables, s’entén que aquest darrer és el responsable únic d’aquell tractament de dades.
c) Quan hi ha corresponsabilitat, els corresponsables han de formalitzar transparentment i per escrit les funcions de cadascun i la seva relació amb els interessats. No obstant això, s’entén que el règim de responsabilitat és solidari davant els interessats, i per tant els interessats poden adreçar-se a i en contra de qualsevol dels responsables per exercir els seus drets.
d) En cas de vulneració de la normativa de protecció de dades, tots els corresponsables responen pels danys que hagin pogut ocasionar, independentment de les accions de repetició que es puguin exercir posteriorment entre corresponsables.
e) La distribució de les responsabilitats respectives entre corresponsables ha de determinar l’exercici dels drets dels interessats, el compliment del deure d’informació, l’aplicació de mesures de seguretat, la notificació de violacions de seguretat i les avaluacions d’impacte relatives a protecció de dades, entre altres aspectes.
f) En circumstàncies concretes determinades, com en el marc dels assajos clínics i altres investigacions clíniques, hi pot haver responsables independents dels seus tractaments respectius. En aquests casos correspon a cada responsable respondre per les obligacions derivades de la seva activitat, de manera que no es pot apreciar la responsabilitat solidària entre ells pels incompliments que hagi pogut cometre l’altra part o les altres parts.
4. Sense perjudici del que estableix l’article 15 d’aquest Reglament, es consideren encarregats de tractament les entitats de qualsevol naturalesa o les persones físiques que processin dades personals en nom del responsable del tractament. La qualificació d’encarregat de tractament depèn de dos condicions bàsiques: que sigui una entitat separada del responsable del tractament i que tracti dades personals en nom del responsable del tractament. D’acord amb la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, un responsable del tractament només ha d’utilitzar encarregats del tractament que proporcionin les garanties suficients per implementar adequadament mesures tècniques i organitzatives perquè el tractament compleixi els requisits de la normativa andorrana de protecció de dades. El grau de suficiència de les garanties depèn d’una anàlisi de risc del responsable que constati, entre altres aspectes, el coneixement expert de l’encarregat, la seva fiabilitat, els recursos de l’encarregat o la seva adhesió a un codi de conducta o mecanisme de certificació aprovat per Andorra que tingui validesa general dins d’Andorra. L’obligació del responsable d’escollir encarregats amb garanties suficients es manté durant tot el tractament, fet que requereix mecanismes adequats per comprovar la vigència de les garanties demostrades.
5. D’acord amb les obligacions contingudes a la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, i sense perjudici del que estableix l’article 16 d’aquest Reglament, els responsables o encarregats de tractament no domiciliats a Andorra o no constituïts conforme a les lleis del Principat però que facin servir mitjans de tractament, automatitzats o no, ubicats en territori andorrà, han de designar un representant prop de l’Agència Andorrana de Protecció de Dades establert al Principat d’Andorra, d’acord amb els criteris següents:
a) El representant pot ser una persona física o jurídica que pugui actuar en nom i representació del responsable.
b) El representant s’ha de designar tenint en compte les seves qualitats professionals i, especialment, els coneixements especialitzats en dret i la pràctica en matèria de protecció de dades. Alternativament, el representant pot no disposar d’aquests coneixements sempre que disposi d’un delegat de protecció de dades ja notificat davant l’Agència Andorrana de Protecció de Dades.
c) La designació s’ha de notificar a l’Agència Andorrana de Protecció de Dades de forma telemàtica mitjançant els formularis específics, i cal adjuntar-hi el contracte de representació i la documentació que permeti identificar el representant (passaport andorrà o targeta de registre del Registre de Societats Mercantils).
d) El responsable ha de mantenir actualitzada la informació sobre el representant davant l’Agència Andorrana de Protecció de Dades.
b) El representant s’ha de designar tenint en compte les seves qualitats professionals i, especialment, els coneixements especialitzats en dret i la pràctica en matèria de protecció de dades. Alternativament, el representant pot no disposar d’aquests coneixements sempre que disposi d’un delegat de protecció de dades ja notificat davant l’Agència Andorrana de Protecció de Dades.
c) La designació s’ha de notificar a l’Agència Andorrana de Protecció de Dades de forma telemàtica mitjançant els formularis específics, i cal adjuntar-hi el contracte de representació i la documentació que permeti identificar el representant (passaport andorrà o targeta de registre del Registre de Societats Mercantils).
d) El responsable ha de mantenir actualitzada la informació sobre el representant davant l’Agència Andorrana de Protecció de Dades.
Registreu-vos a LesLleis.com per
accedir al contingut complert d'aquesta pàgina.